Linux + Firefox 登陆网上银行 (五一长假巨献)

contion

原帖由 liubingqian 于 2006-5-9 08:50 发表
我以前就在招商银行的网站上发过牢骚了，他们的回答总是“您的意见我们会考虑的”。

如果只是W3C标准的HTML和ECMAScript那也就算了(例如建行的烂网银)，工行、招行的最大问题在于采用Win32系统钩子技术的反按键木马的ActiveX密码控件，为非IE用户修改网页的兼容性、开发用于实现类似功能的mozilla插件是需要成本的，而国内网银用户使用非IE内核的浏览器很少，所以现阶段银行是不会考虑的。

contion

原帖由 LinuxServer 于 2006-5-11 03:02 发表
只要用鼠标点示网页就可以了。
在这种情况下HOOK还有什么用呢？
所有的信息都是服务器提供的。并且随机变化的。
也就是只有26个英文字母加上10个数字。
只要银行的人够用心，连破解也是不太可能了。
并且不会流下任何痕迹。

开玩笑，如果有抓屏木马或者后门软件呢？
从技术上讲，软键盘的安全性比“安全密码控件”差。
到目前为止，所谓的“网上银行被入侵”基本上都是发生在客户端，即用户输入的用户名/密码在尚未传输之前就被按键木马、抓屏木马截获了。Win32系统钩子的安全密码控件虽然不一定安全，但是截至目前，尚未有能够从这种控件获取键盘消息的技术报道。

contion

原帖由 qsblj 于 2006-5-12 13:58 发表
1：农行的网上银行，转帐是不需要手续费的。（不论是否异地，或者跨行）
2：浦发的东方卡，在全国的ATM上提款也是不需要任何手续费的。 （不论是否异地，或者跨行）

1. 目前确实是这么执行的，但是农行没有明确此项业务的资费标准，也就是说，他们随时可以收费。
目前在资费标准中有明确网上本异地跨行转账免费的只有兴业银行的兴业e卡虚拟卡，当然，只是全国大部分中心城市免费而已。到账速度也远比农行快。具体可参见兴业银行网站。
2. 确实如此，东方借记卡很不错，但是很遗憾，厦门没有浦发分支机构，我只能退而求其次，用光大银行厦门市分行的阳光卡，同城跨行取款免手续费。

contion

楼上的，我们假设“抓屏+按键木马”能在你打开网上银行并准备登录时抓取屏幕录像、记录键盘消息，并且忽略录像文件大小的问题，你说攻击方能不能根据“随机图片”提示的随机输入格式，例如“我爱我家:我不想输入我的密码:[$我的密码],我也不想输入我的帐号:[我的帐号]”和用户的键盘消息或者软键盘鼠标点击轨迹得到正确的用户名/密码？

另外，我并没有讨论密码开始传输后的问题。传输一般都是128位或更高的SSL，很难破解。

contion

原帖由 LinuxServer 于 2006-5-12 16:55 发表
如果再加几层验证呢?并且随机采用图片或者文字呢?

多加几层验证只是增加抓屏录像和键盘消息监听的时间长度而已，因为不管验证有多少层，通过以后必须开始请求一个正确的地址(网银主界面)，这时候监视就可以停止了。随机图片或者文字没有用，因为这还是会显示在屏幕录像中。

当然，我说的只是理论上不安全。因为这种抓屏录像很容易被察觉，而且产生的录像文件必然比较大，不适合大面积撒网。

contion

不要一直AJAX，前些年我本人一直都是搞这个的，那时候没有Google Map，也没有AJAX这个名称。

contion

原帖由 LinuxServer 于 2006-5-12 17:15 发表
并且你怎么确定在什么时候确定你要图呢?

最大的问题就在于这里，攻击者不知道什么时候开始监视比较合适。开始请求网银地址即开始监视，这不好，因为用户可能打开网银首页之后，过了5分钟才开始输入账号/密码。
比较合理的可能是在网银登录窗口被激活之后，第一次键盘事件发生时开始监视，当焦点离开窗口时暂停，窗口重新激活后，并且在又发生了键盘事件，恢复监视。

何时结束监视这倒是很简单，分析一下网银主界面可以了。

[ 本帖最后由 contion 于 2006-5-12 17:32 编辑 ]